Proteção de dados para agências e desenvolvedores WordPress

Nils Möllers Atualizado em 21.10.2020
5 min.
Proteção de dados para agências
Última actualização em 21.10.2020

O desenvolvimento do mercado digital não é uma questão nova para as empresas e para os trabalhadores independentes. Infelizmente, o mesmo não pode necessariamente ser dito sobre a protecção de dados para as agências. O que as agências e os freelancers têm que considerar em termos de lei de protecção de dados? E quanto ao processamento de WordPress pedidos? Uma visão geral.

O regulamento básico de protecção de dados (RGPD) está em vigor há quase 2 anos - também emprega todos aqueles que WordPress trabalham no ambiente de. No entanto, o tema da protecção de dados existe desde 1971 e existe uma tensão crescente entre a protecção de dados e a digitalização responsável dos processos empresariais. É, portanto, ainda mais importante conhecer as regras centrais.

Nota: Este artigo básico não substitui o aconselhamento jurídico. Para verificar as suas medidas e o seu website, deve sempre contactar um escritório de advogados especializado em direito online e protecção de dados.

Quando é que uma agência deve nomear um responsável pela protecção de dados?

Tem havido discussões acaloradas aqui no passado. No entanto, podemos agora estabelecer os seguintes pontos-chave para as português es agências:

  1. A Agência emprega mais de 20 funcionários que processam dados pessoais
  2. A Agência realizará operações de processamento Avaliação do impacto da protecção de dados precisa de ser avaliado
  3. A agência atua na área de pesquisa de mercado ou de opinião 
  4. A Agência deve, em particular, processar dados pessoais sensíveis

Com o desejo de reduzir a burocracia, os grupos parlamentares da CDU/CSU introduziram na consulta legislativa a exigência de aumentar o limite da obrigação de nomear um responsável pela protecção de dados da empresa (Secção 38 BDSG) para 50 pessoas. Finalmente, foi alcançado um acordo em meados de 2009 sobre um limite de 20 empregados.

A questão fundamental aqui é se elevar o limite foi sensato, já que a proteção de dados deve ser observada por todas as empresas. Mesmo uma empresa de 1 pessoa.

O que deve ser observado em termos de lei de proteção de dados para software de agência?

Muitas agências trabalham com software, sistemas de emissão de bilhetes ou gestão do fluxo de trabalho para automatizar processos e manter uma visão geral. Tipicamente, estas soluções de software processam dados pessoais de clientes e outros parceiros. Portanto, as normas de proteção de dados também se aplicam aqui.

Em princípio, as agências devem assegurar um nível adequado de proteção para os produtos de software importados. Além de um conceito de autorização e eliminação, além disso medidas técnico-organizacionais (TOM), de acordo com o artigo 32ºRGPD, para utilizar o software de forma compatível com a protecção de dados.

A adequação económica deve ser tida em conta. Por exemplo, os TOMs de uma pequena agência não podem, por razões econômicas, atender aos mesmos padrões em todas as áreas que as medidas de uma grande corporação.

Na maioria dos casos, este software é um serviço em nuvem. Estes são, por exemplo:

  • segunda-feira.com
  • Google Suite ou
  • Atlassian Jira Service Desk

para citar apenas alguns. O processamento de um contrato deve ser definitivamente concluído com estes fornecedores, uma vez que os dados pessoais são processados pelas ferramentas, de acordo com as instruções.

Google RGPD
O Google fornece seus próprios recursos para seus serviços na nuvem

Ao concluir o processamento de um pedido (antes do início da cooperação), as agências ou desenvolvedores devem medidas técnicas e organizacionais do serviço.

O contrato de processamento de pedidos também deve conter, entre outros, os seguintes tópicos: assistência na afirmação dos direitos das pessoas em causa, padrões de qualidade, subcontratantes, se existirem.

O WordPress desenvolvimento é um processamento de pedidos?

Muitas agências desesperam com a avaliação se estão processando dados como um processador em nome de um cliente ou como uma parte (auto) responsável. Na verdade, a avaliação é bastante simples: o responsável pelo tratamento é a pessoa que determina as finalidades e os meios de tratamento dos dados pessoais (n.º 7 RGPD do artigo 4.º). Por outro lado, uma agência age como um processador nos termos do artigo 48 (RGPD) quando processa dados pessoais em nome do comitente.

Mas o problema é que as agências e os freelancers muitas vezes oferecem serviços integrados. Nesses casos, nem sempre é possível verificar muito claramente se não existe uma mistura de responsabilidades. A opinião predominante dos responsáveis pela protecção de dados é que, em caso de dúvida, o processamento de uma encomenda está concluído. A propósito, isto coloca a agência em melhor posição em termos de responsabilidade do que sem um contrato para o processamento comissionado.

O que deves considerar no alojamento WordPress?

O alojamento Web também faz parte da protecção de dados das agências. Além da disponibilidade de um Certificado SSL é de grande importância que a hospedagem ocorra em um data center que seja certificado. Por exemplo, ISO/EN 27001, porque o mesmo requisito do artigo 32 RGPDse aplica aqui: agências e desenvolvedores devem garantir disponibilidade, integridade e confidencialidade através de um nível de segurança adequado.

Para além das medidas preventivas, uma Estratégia de backup pode ser implementado. Na prática, os backups incrementais diários e os backups completos semanais, que são armazenados por até 90 dias, provaram ser eficazes.

Estratégia de backup
As cópias de segurança automáticas aumentam a segurança

No entanto, os backups não devem ser armazenados em um único local. Como regra, os centros de dados oferecem a possibilidade de acesso a vários compartimentos de incêndio.

O que um WordPress site deve cumprir para a proteção de dados?

Em princípio, os websites devem cumprir os princípios do regulamento básico de protecção de dados. Por isso, aplica-se:

  • O princípio da minimização dos dados
  • O respeito das bases legais para o tratamento de dados pessoais
  • O mesmo se aplica ao cumprimento de um objectivo razoável do processamento

Tradicionalmente, cada website deve ter uma declaração de privacidade abrangente e precisa para atender aos requisitos de informação.

WordPress  Página de privacidade
Defina a página da política de privacidade emWordPress

Além disso, devem ser estabelecidas as bases legais para as diversas operações de processamento, especialmente no que diz respeito ao uso de cookies de terceiros. Este requisito pode ser implementado muito facilmente com um Cookie Consent Manager. Em relação ao WordPress, devem ser considerados os seguintes aspetos:

Da mesma forma, para certas operações de processamento (registos, formulários de contacto, etc.) Declarações de consentimento que preencham as condições estabelecidas no artigo 7RGPD.

WordPress  Plugin Administração
Prático: plugins e themes central no backend de hospedagem

Proteção de dados para agências: Quando se precisa de consentimento?

Em princípio, o regulamento básico de protecção de dados deve ser entendido como uma proibição sujeita a autorização. Isto significa que, em primeira instância, nenhum dado pessoal pode ser processado. No entanto, como os dados pessoais têm frequentemente de ser processados, o legislador europeu definiu as chamadas infracções baseadas em permissões - em Artigo 6, parágrafo 1 iluminado de a a f RGPD.

RGPD Texto
O texto do RGPDon eur-lex.europa.eu

O consentimento é sempre requerido se uma das infracções permitidas nos termos do n.º 1, alíneas b) a fRGPD), do artigo 6º não for relevante. Tal consentimento deve satisfazer as condições de Artigo 7. cumprir. Entre outras coisas, especifica:

  • "Quando o tratamento se baseia no consentimento, o responsável pelo tratamento deve ser capaz de demonstrar que a pessoa em causa consentiu no tratamento dos seus dados pessoais
  • "A pessoa em questão tem o direito de retirar o seu consentimento a qualquer momento. A revogação do consentimento não afecta a legalidade do processamento efectuado com base no consentimento até que este seja revogado. O titular dos dados deve ser informado antes de ser dado o consentimento. A revogação do consentimento deve ser tão simples como a concessão do consentimento".

Assim, o consentimento deve ser sempre informado, transparente, verificável, voluntário e revogável.

Além disso, há um chamado Considerando 32 para RGPDo . exemplos aí apresentados destinam-se a facilitar a elaboração de um consentimento para a prática comercial. Contudo, as soluções desenvolvidas internamente - bem como as soluções associadas WordPress Plugins- devem ser regularmente verificadas legalmente para a sua admissibilidade, por exemplo, por um escritório de advogados adequado.

Perguntas sobre protecção de dados para agências

Tens perguntas sobre proteção de dados para agências e freelancers? Então usa a função de comentários. Queres ser informado de novos artigos sobre o tema do direito online? Então segue-nos no Twitter, Facebook ou através da nossa Newsletter.

Nils Möllers é o fundador e diretor executivo da Keyed GmbH da região de Münsterland - como um oficial de proteção de dados certificado e especialista em proteção de dados em marketing, em grupos corporativos e em sistemas de franquia. Nils Möllers também aconselha empresas na área de segurança de TI, acompanhando a ISO27001.

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com * .